오로라, 자율주행 ‘안전 사례 프레임워크’ 공개

Aurora Nat Beuse        오로라 나트 비유스 부사장

자율주행 기술의 채택을 촉진하기 위해서는 투명성과 협업이 중요하다. 8월 오로라가 안전 기준 마련을 위한 연구성과와 진행상황을 공유했다. Aurora Safety Case Framework의 공개에 즈음해, 오로라의 나트 비유스(Nat Beuse) 안전 담당 부사장이 이러한 접근방식이 자율주행 산업에 중요한 이유를 밝혔다.

역 | 윤범진 기자_bjyun@autoelectronics.co.kr
출처 | Aurora





“자율주행차가 공공도로를 운행하기에 충분히 안전한지 어떻게 알 수 있을까요?” 자율주행차의 잠재성에 대해 처음 사회적 논의가 시작된 이래로 끊임없이 제기돼 온 질문이다. 

오로라는 자체적으로 자율주행차가 공공도로를 운행하기에 충분히 안전한 때를 평가하고, 차량 안전에 비합리적 위험을 초래하지 않는지 평가하는 정의된 방법인 ‘안전 사례 기반 접근방식(safety case-based approach)’을 적용하고 있다. 8월 17일, 오로라는 자율주행 트럭 및 승용차 모두에 적용되는 최초의 자율주행 안전 사례 프레임워크인 ‘Aurora Safety Case Framework’를 공개했다.

오로라는 이 프레임워크가 안전 운전자(safety driver)의 안전을 담보하는 가장 효과적이고 효율적인 방향임을 확신하며 안전 운전자 없는 운행과 대규모 상용 자율주행차를 안전하게 제공하려는 모든 회사의 필수 구성요소라고 믿고 있다. Aurora Safety Case Framework는 차량의 전체 개발 수명주기를 평가해 보급까지의 기간을 단축하고 자율주행차가 공공도로에서 운행 가능한 안전한 시기를 결정할 수 있게 한다. 

자율주행 기술의 채택을 촉진하기 위해서는 투명성과 협업이 중요하다. 오로라가 연구 성과와 진행 상황을 공유함으로써 업계는 안전 기준 마련을 위해 협력할 수 있으며 규제 당국과 협력사는 물론, 일반 대중에 이르기까지 모든 주체가 오로라의 안전 접근방식을 이해할 수 있다. Aurora Safety Case Framework의 공개에 즈음하여, 오로라의 나트 비유스(Nat Beuse) 안전 담당 부사장은 이런 접근방식이 왜 자율주행 산업에 중요한지 밝혔다.



Q. 높은 수준에서 Safety Case Framework의 역할은 무엇이며, 오로라는 어떻게 프레임워크의 안전 작업(safety work)을 측정할 수 있도록 보장하는가?
A. 오로라의 Safety Case Framework는 공공도로에서 자율주행차의 안전한 개발, 테스트, 운영을 평가하는 데 중요한 다양한 요소를 포착합니다. 안전 사례 기반 접근방식(safety case-based approach)은 항공, 원자력, 의료, 자동차, 석유/가스 탐사 및 추출을 비롯하여 다양한 안전 중심 산업에서 적용되고 있지만, 자율주행 산업에서는 아직 표준이 아닙니다. 오로라는 자율주행 회사들이 안전 사례 기반 접근방식을 적극적으로 고려해야 한다고 생각합니다. 

오로라는 안전성을 해야 할 일들(to-do items)의 정적 체크리스트가 아닌 연속적인 과정으로 접근하며, 우리의 증거 기반 접근방식(evidence-based approach)은 내부적으로나 외부적으로 매우 중요합니다. 사내에서 Safety Case Framework는 차량 운전자와 무관하게 자율주행차를 도로에 투입할 자신이 있는지 확인하기 위해 증거를 지속해서 검토하고 오로라 드라이버(Aurora Driver)의 성능과 개발을 내부 기준에 따라 평가하는 방법입니다. 외부적으로는 협력사, 고객, 규제 당국, 일반 대중과 접근방식 및 진행 상황을 효과적으로 공유할 수 있습니다. 이러한 투명성은 매우 중요하며 새로운 기술을 배치할 때 중요한 신뢰를 쌓는 데 도움이 됩니다. 

이번에 공개한 첫 번째 버전의 Aurora Safety Case Framework에는 상위 4단계 클레임(claim)이 포함돼 있습니다. 이 클레임의 추가 개발은 반복 과정을 따를 것이므로, 더 많은 것을 배우고 경험할 것이며 테스트 작업을 새로운 환경과 차량 플랫폼으로 확장함으로써 단기적으로나 장기적으로 진화할 것으로 기대합니다. 이 프레임워크는 종합적입니다. 다시 말해 차량 운영자가 있건 없건 테스트를 포함하도록 설계되었습니다. 동시에 적응(adaptable)할 수 있도록 설계되었기에 다양한 시나리오와 환경에 맞게 조정할 수 있습니다. 



Q. 오로라 프레임워크의 차별화 요소는 무엇인가?
A. 우선, 지금까지 우리 업계에서 활동하고 있는 어떤 회사도 Safety Case Framework를 공유한 사례가 없습니다. 우리는 업계뿐만 아니라 대중에게 안전한 개발 및 배치를 위한 로드맵 제시가 중요하다고 생각하기에 프레임워크를 공유하고 있습니다. 또 다른 차별화 요소는 다음과 같습니다.

우리는 트럭 운송과 승객 이동성(passenger mobility)을 모두 하나로 해결합니다. 처음부터 우리는 오로라 드라이버(Aurora Driver)를 개발하여 고속도로에서 물건을 운반하는 대형 트럭, 고속도로에서 사람을 수송하는 승용차, 교외나 도심에서 사람과 물건을 수송하는 차량 등 다양한 사용 사례에서 경험을 학습했습니다. 오로라 드라이버의 하드웨어와 소프트웨어의 이러한 공통 아키텍처와 함께 우리는 자율주행 트럭 또는 승용차에 통합된 자율주행 시스템의 안전성 여부를 판단하는 방법을 발표한 최초의 회사임을 자랑스럽게 생각합니다. 특정 차량 플랫폼 및 운영 도메인에 맞게 프레임워크를 조정하는 한편, 이 접근방식을 통해 우리 팀은 하나의 투명한 가이드라인에 따라 작업할 수 있으므로 오로라가 신속하게 개발되고 안전하게 작동할 수 있습니다. 

우리는 단순히 배포만이 아니라 전체 개발 수명주기를 평가합니다. 우리의 Safety Case Framework는 상업적으로 배포된 최종 제품의 안전성에만 초점을 맞추는 대신에, 테스트에서 배포에 이르기까지 자율주행차량 개발 수명주기 전반에 걸쳐 다양한 측면을 지원하는 클레임과 함께 (새로운 환경에) 적응할 수 있습니다. 다시 말해, 이번에 발표한 안전 사례 클레임을 다양한 차량 플랫폼을 비롯하여 운전자를 태운 차량이나 공공 도로 및 테스트 트랙의 차량에도 적용할 수 있습니다. 
우리는 차량뿐 아니라 기업 전체에 초점을 맞추고 있습니다. 우리의 Safety Case Framework는 차량에만 국한하지 않고 차량, 사람, 프로세스, 문화, 지원 프로그램 및 조직 시스템 등 자율주행 기업으로서 오로라에 대한 안전 스토리를 제시합니다. 







Q. 이 프레임워크가 왜 중요하며, 안전한 오로라 드라이버 구현을 보장하는 방법은 무엇인가?
A. 궁극적으로 오로라의 Safety Case Framework는 오로라 드라이버의 설계 및 개발을 평가하는 데 도움이 되며 제품 개발 로드맵과 일치합니다. 각각의 주요 제품 이정표에 대해 관련 클레임을 조사하고 해당 증거를 개발합니다. 클레임은 “G3.1 안전 성능 지표를 측정, 분석하고 안전을 모니터링하는 데 사용한다."와 같이 우리가 하는 주장입니다. 우리가 내부적으로 개발하기 위해 적극적으로 노력하고 있는 적절한 증거는 개별 클레임을 입증하도록 맞춤화되며, 예를 들어 테스트 결과, 동료(peer) 검토, 감사 또는 평가로 구성될 수 있습니다.

우리의 Safety Case Framework에는 오로라의 자율주행차량을 공공 도로에서 안전하게 운행할 수 있다는 최상위 클레임을 포함하고 있습니다. 당연히 누군가는 “그게 무슨 의미냐?”, “안전하다는 걸 어떻게 알 수 있냐?”고 물을 것입니다. 우리는 이러한 클레임을 Proficient(숙련도), Fail-Safe(페일 세이프), Resilient(회복력), Continuously Improving(지속적 개선), Trustworthy(신뢰할 수 있는) 등 5가지 안전 원칙과 하위 클레임으로 분류합니다. 


 

---

5가지 안전 원칙(Safety Principles)   

숙련도(Proficient)
자율주행차는 적절히 숙련되지 않는 한 공공도로를 운행하기에 안전하다고 할 수 없다. 숙련도에는 제품 개발에 필요한 설계, 엔지니어링, 테스트가 포함된다. 이 안전 원칙에는 자율주행차 동작의 공칭(nominal), 비공칭(off nominal), 코너 케이스(corner case)에 대한 자율주행차 성능 요구사항이 포함되어 있다.

페일세이프(Fail-Safe)
페일세이프 원칙은 자율주행차가 결함 및 장애가 있을 때 어떻게 동작하는지를 설명한다. 100% 완벽한 시스템은 없다. 구성 부품이 마모되거나 조기에 고장이 나는 경우가 있다. 오로라 드라이버는 이러한 고장을 감지하고 안전하게 완화하도록 설계되었다. 이 안전 원칙에는 차량에 내장된 모든 결함 감지, 결함 완화, 결함 알림이 포함된다. 

지속적 개선(Continuously Improving)
지속적 개선 원칙은 시스템 개발에 지속적 개선 개념을 어떻게 반영하고 있는지를 설명한다. 자율주행차에는 센서가 장착돼 있으며, 자율주행차는 하루에도 상당량의 데이터를 수집한다. 오로라는 이 데이터를 활용해 지속적인 개선을 실현할 수 있다. 이 현장 데이터는 안전 성능 지표를 산정하고 설계 및 개발 과정에서 수집된 데이터도 고려하는 포괄적인 데이터 분석 노력을 제공한다. 데이터를 체계적으로 수집하고 분석하는 이러한 접근방식을 통해 추세, 평균으로부터의 회귀 및 새로운 행동을 파악할 수 있다. 또한, 오로라는 위험 식별 기법을 적용하여 사전에 위험을 식별함으로써 지속적인 개선을 위한 사전 예방적 접근방식을 취한다. 

회복력(Resilient)
자율주행차는 공공도로를 안전하게 운행할 수 있도록 설계되었지만, 차량을 악의적인 행위자나 불가피한 이벤트로부터 격리하지는 않는다. 회복력 원칙은 오로라 드라이버가 어떻게 불리한 사건과 의도적인 오남용을 견딜 수 있는지를 보여준다. 

신뢰할 수 있는(Trustworthy)
오로라의 자율주행차는 숙련되고(Proficient) 안전하며(Fail-Safe) 지속적으로 개선되고(Continuously Improving) 탄력적(Resilient)일 수 있지만, 대중과 정부 규제 당국의 신뢰 없이는 최상위 수준의 클레임(top level claim)을 완전히 실현할 수 없다. 신뢰할 수 있는 안전 원칙은 오로라가 대중, 정부, 이해관계자의 참여, 안전 투명성, 안전 문화, 외부 검토 및 자문 활동 등을 통해 신뢰를 얻는 방법을 다룬다. 
 

---

Q. 안전을 검증하는 방법으로 도로에서 점점 더 먼 거리를 주행하기 위해 대규모 차량을 동원하지 않는 이유는 무엇인가?
A. 이 옵션이 매력적으로 들릴 수도 있으며 경쟁업체들이 도로 주행 거리 측면에서 안전성 진전에 관해 이야기하는 걸 들었지만, 상업적으로 실행 가능한 제품을 만드는 올바른 접근방식은 아닙니다. 운전의 복잡성과 주어진 운영 영역에서 마주할 수 있는 무한한 시나리오를 고려할 때, 이러한 무차별 대입 방식은 회사가 상용 제품의 안전성을 이해하기에 충분한 주행 거리를 적절하게 축적하도록 허용하지 않습니다. 

미국의 대표적인 싱크탱크 중 하나인 랜드 연구소(RAND Corporation, www.rand.org)는 “자율주행차는 사망 및 부상에 대한 신뢰성을 입증하기 위해 수억 마일, 때로는 수천억 마일을 주행해야 한다. 공격적인 테스트 가정하에서도 기존 차량은 이러한 거리를 주행하는 데 수십 년, 때로는 수백 년이 걸릴 것이다. 이는 소비자를 위해 차량을 출시하기 전에 성능을 입증하는 것이 목표라면 불가능한 제안이다”라고 언급한 바 있습니다. 게다가 이 접근방식이 효과가 있었다고 해도 일단 소프트웨어나 하드웨어 기술이 변경되면 그 거리를 다시 주행하는 것 외에는 안전 성능을 확인할 방법이 없습니다.

반면, 우리는 Safety Case Framework를 적용하여 더 신중하고 포괄적인 안전 논증(argument) 접근방식을 취하고 있습니다. 이 접근방식은 우리가 공공 도로에서 상업적 운영을 위해 허용 가능한 안전을 입증하는 데 필요한 엔지니어링 노력의 규모를 이해할 수 있도록 해줍니다. 이러한 통찰력으로 새로운 환경에서 운행하거나 새로운 차량 플랫폼으로 확장하기 전에 상업적으로 배치할 때 차량 운영자를 배제하기 위해 개발해야 하는 증거의 폭과 깊이를 이해할 수 있습니다. 우리는 자율주행차가 도로를 운행하기에 충분히 안전함을 검증할 수 있는 유일한 실행 가능한 방법은 클레임의 프레임워크와 이러한 클레임을 뒷받침하는 증거를 개발하는 것이라고 믿습니다.

안전 사례 프레임워크를 구축하면, 우리가 안전에 접근하는 방법과 우리가 고려하는 많은 요소를 정확하게 보여줄 수 있습니다. 즉, 차량이 특정 상황이나 환경에서 안전하다는 사실에 대한 지원을 반드시 제공하지 않는 마일 주행 또는 이탈에 대해 단순히 보고하는 것과 극명히 비교됩니다. 오로라는 이 구조화된 접근방식만이 자율주행차를 안전하게 상용화할 수 있는 유일한 방법이라고 믿습니다. 


Q. 안전과 관련해 오로라의 다음 단계는 무엇인가? 향후 Safety Case Framework에서 더 많은 정보를 공유할 계획인가?
A. 회사들이 자사 기술이 안전하다고 선언하기는 쉽지만, 우리는 그것을 증명하기 위해 우리가 하는 작업을 공유하게 된 것을 자랑스럽게 생각합니다. 우리는 투명성과 협업에 대한 약속의 하나로, Safety Case Framework를 공개했습니다. 이것은 모든 자율주행차 회사가 도로를 더 안전하게 만들기 위해 협력해야 한다고 믿기 때문입니다. 이를 통해 우리는 다른 회사가 자체 안전 사례를 마련할 수 있기를 기대합니다. 안전 사례는 공공도로에서 자율주행차를 안전하게 배치하는 데 중요하다고 생각합니다. 궁극적으로 강력한 안전 사례 기반 접근방식은 직원, 협력사, 규제 당국과 일반 대중에게 도로에 올려지는 제품이 허용 가능한 수준으로 안전하다는 신호를 보내야 합니다. 

우리는 계속해서 내외부 팀들과 협력하여 안전 작업을 검토하고 개선하여 변화하는 운영환경에 이 프레임워크를 적용할 것이며 앞으로 더 많은 정보를 공유할 것입니다.



Safety Case Framework  일부 예(풀 트리)  

---